vSphere Trust Authority とは

VMware

vSphere Trust Authority とは

免責事項

本記事で取り扱う内容は、基本的に記事の作成時点または更新時点での最新情報となります。
それ故、今後の製品アップデートに伴う機能強化については触れていない可能性があります。

本記事を閲覧頂く際には本記事の作成日時と更新日時を参照し、そのうえでvSphere製品のアップデート更新有無をご確認いただいた上で、機能差分が生じている場合は本記事の内容に加え、それらの更新を必要に応じてご確認ください。

本記事の目的は、vSphere Trust Authorityという機能がどのような機能であるか?をダイジェスト的に説明することを目的としています。

逆に、より読者様のデータセンターのセキュリティ強化のためのベストプラクティスのような設計に対するケーススタディを含んでおりませんので、そうした情報についてはVMware社の公式情報をご確認頂くようお願い申し上げます。

機能の目的

vSphere Trust Authority in vSphere 7

この機能は、2つの機能が提供されます。

1つ目は、”vTAクラスター”が”ワークロードを動かすためのESXiホストが安全であるかどうか?を自動的に判別してくれる機能です。

2つ目は、”キー管理サーバ”に変わり、”vTAクラスター”がデータ暗号化用の鍵データをESXiホストに配布します。

vTAクラスターとは

上記の説明で既に気になったのではないでしょうか。

vTAクラスターとは、インフラストラクチャに対するセキュリティチェックや構成を、人間の管理者とキー管理サーバに変わり提供してくれる”ESXiクラスター”です。

ある意味ではこれはセキュリティ管理者として動いてくれるESXiホスト群といってもよいのではないでしょうか。

VMwareが提供する理想的なデータセンターのモデルは、”VMware Validated Design”というページで紹介されますが、例えばこの記事内でも本番環境を動かすクラスターは”ワークロードクラスター”と呼ばれ、管理系仮想マシンを動かすクラスターは、”管理クラスター”と呼ばれますね。いずれも、言ってみれば物理ホストに入ったただのESXiです。

docs.vmware.com

これと同じようにvTAクラスターとは、ただのESXiホストの集まりに過ぎませんので、然程難しく考える必要はありません。ただ、このvTAクラスターは、通常の仮想マシンを動かす以外にも上述している2つの役割を担っています。

blogs.vmware.com

何を以って”安全”だと判断するのか?

これはvTAクラスターが、監視対象ESXiクラスターからの検証レポートを受け取り、ワークロードを動作させるのに安全かどうかを判断します。

(ワークロードクラスター内の)ESXiホストは、搭載された物理TPMチップによる保護を受け、その結果をvTAに提出します。

こちらは、PowerEdge R740でのTPMチップの脱着の様子です。

Dell EMC PowerEdge R640: Remove/Install TPM

元々TPMチップは、Windowsが持つ”BitLocker”という機能で利用されるチップとして有名です。
この機能は記憶媒体を暗号化してくれる機能です。

vSphere Trust AuthorityにおけるTPMは、このような暗号化ではなく”ワークロードが動いて良い安全な場所である”と正当性の検証の役割として動作します。

本記事ではTPMの仕組みや一般的な利用方法については触れませんが、気になる方はこちらのファイルをご覧ください。PC搭載セキュリティチップ(TPM)の概要と最新動向 – 解説

誰が”安全”だと判断するのか?

これは”vSphere Trust Authority クラスター”が判断します。
このクラスターが、”ワークロード クラスター”から構成情報の提出を受けて、その内容を検証して、安全か否かを判断します。

提出内容というのは、”ワークロード クラスター”上の物理TPMチップが生成した内容です。
つまり後述しますが、監視対象ホストには物理TPMチップの搭載が前提となります。

blogs.vmware.com

実装のための構成要件

要件は次のリンク内で紹介があります。vSphere 信頼機関の前提条件と必要な権限 – VMware Docs

下図は記事内からの抜粋です。物理的な要件が黒、ソフトウェア的な要件を青で示しました。

物理的要件

ハードウェアとソフトウェア両方に於いて、満たすべき要件があります。
特にESXiホストとしては、UEFIによるブート、セキュアブート有効化、TPM 2.0の搭載が必須です。
TPM 2.0チップは昨今のハードウェアでは搭載オプションとして選択が可能となっています。

Dell EMC PowerEdge R740

TPMチップ単体の価格は、他のエンタープライズ製品用パーツと比べると比較的安価ですね。
TPM自体はよく、記憶媒体の暗号化でお馴染み”BitLocker”での利用で登場しますね。今後も各社のソリューションを有効化するためにこのTPMは活躍するかもしれませんので、購入をしておけば先の機能のための拡張性も維持できそうですね。

なお、VMware Compatibility Guideにて、ESXiで利用可能なTPMチップは検索が可能です。

特定のサーバの詳細を見た場合は、該当のサーバをクリックし、以下の箇所でTPMとBIOSバージョンの組み合わせについて確認が出来ます。

(あれ、TPM 2.0で使うBIOSがやけに古い気がするんだけど…)

ソフトウェア要件

下図は再掲です。vCenter Serverが2つ必要という所に若干のハードルの高さを感じます。

しかしながら、最近ではごく当たり前のように”管理クラスター”と”ワークロードクラスター”は、それぞれ独立したvCenter Serverを持つ構成が、VMware Cloud Foundationでも出てきていますので、今後は1つのインフラで複数のvCenter Serverを管理すること自体も標準化されていくのかもしれません。

(しかしこれは、個人的にはかつてのvCenter ServerとPSCの外部化問題のように、ユーザー目線で言えば管理アプライアンスが増える事は運用計画の複雑化になるので、今後ユーザーの声を聞いた結果変わるかもしれませんね。

また上記以外ですと、データ暗号化機能で用いるKMS(鍵管理サーバ)も構成が必要です。

本機能を利用する際の注意点

各ワークロードは、信頼されたホスト上での動作が必要となります。
vSphere HAやvSANなどの同一クラスターレベルで実装する機能はサポートされています。

例えばこれがvMotionのように、クラスターを超えての移動が発生するケースはどうでしょうか?
クローンのように保護されているワークロードを複製するアクションはどうでしょうか?

これらは保護されている領域で発生するものについては問題ありませんが、そうでない場合はこれらの機能は制限されます。

これらの情報は以下のページに掲載がありますのでご確認ください。

docs.vmware.com

関連リンク

今回この記事を掲載するにあたり参考にしたページをまとめました。

日本語で当該機能についてご覧になりたい方はこのページが非常に良いです。
本ページ内のいくつかのリンクは、以下のページ内からの抜粋です。それらの個別での掲示は本節では取り扱いませんので、各節にて直接確認ください。
docs.vmware.com

機能概要について無駄なく分かりやすく書かれていたのがこちらの記事です。(英語)
blogs.vmware.com

 

コメント